网神SecIPS 3600入侵防御系统产品白皮书

●版权声明

Copyright © 2006-2011 网神信息技术（北京）股份有限公司（“网神”）版权所有，侵权必究。

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息

●版本变更记录

目录

1产品概述 (4)

2产品特点 (4)

3产品功能 (12)

4产品资质................................................................................ 错误!未定义书签。

1产品概述

网神SecIPS 3600入侵防御系统（简称：“网神IPS”）将深度内容检测、安全防护、上网行为管理等技术完美地结合在一起。配合实时更新的入侵攻击特征库，可检测防护3000种以上的网络攻击行为，包括病毒、蠕虫、木马、间谍软件、可疑代码、探测与扫描等各种网络威胁，并具有丰富的上网行为管理，可对P2P、聊天、在线游戏、虚拟通道等内网访问实现细粒度管理控制。从而，很好地提供了动态、主动、深度的安全防御。

2产品特点

网神IPS的完善体系结构包括两大部分：强化安全的专用操作系统和模块化硬件系统。以下分别介绍这两大部分。

高效的体系结构

在平台优化的核心技术方面，主要有以下三个方面。

1）零拷贝技术

数据包以Scatter-and-Gather方式主动通过千兆网卡DMA进入内存后就不再拷贝，有效地减少内存存取次数。

2）核心层优化

所有报文的解析与比对都由核心层（Kernel）进行，完全不用通过核心层与应用层之多余的转换，因此不用进行内存拷贝，从而有效地减少内存存取次数。

3）硬件特征比对

网神特征比对引擎是一款能直接比对特征码格式，引擎比对速度高达4Gbps。相对于一般只对报文内容进行文字搜索的作法，引擎同时整合了第四层的特征内容，减少了处理器额外比对并且有效降低误判，且支持Wildcard、Distance、Within等等针对P2P/IM等应用程序所需要的操作单元，能高速进行对比并且不会有规则存储导致硬件满载的风险。

●实时的入侵检测防护

网神IPS具备基于协议异常、会话状态识别和七层应用行为的攻击识别功能，内置超过3,000种的IPS特征库，并可自定义入侵攻击和应用软件的特征；支持对VLAN、MPLS、ARP、TCP、UDP、RPC、WCCP、GRE、IPV6、SMTP等各种协议的分析；支持对病毒、蠕虫、木马、间谍软件、广告软件、可疑代码、端口扫描、非法连接等多种攻击的防护。

●丰富的上网行为管理

网神IPS不仅具有精准的入侵检测和防护功能，同时还具有丰富的内网上网行为管理功能。可以根据不同的时间、群组，来对及时聊天软件、P2P软件、非法隧道等下达严格的管理策略。

●强大的抗DoS/DDoS

传统的网络安全设备仅具有单纯地设定单位时间内访问特定服务次数，来阻断未知类型的DoS/DDoS攻击。这种机制虽然可以将超过阈值的攻击数

据包丢弃，但同时也会将超过阈值的合法数据包丢弃，造成正常用户不能使用网络服务。网神IPS对于需要重点保护的Web、DNS等服务可选择采取传统的处理机制。

另外，网神IPS提供独特的DoS/DDoS检测及预防机制，可以辨别合法数据包以及DoS/DDoS攻击数据包，支持双向阻断TCP/UDP/IGMP/ICMP/IP Flooding、UDP/ICMP Smurfing等类型的DoS/DDoS攻击，可检测的DoS/DDoS 攻击软件包括XDoS、SUPERDDoS、FATBOY等50种以上。

网神高端IPS对于一般性能指针（TCP SYN Flooding），当攻击包大小为128 bytes时，可以抵挡480Mbps流量的攻击，当攻击包大小为1518bytes 时，可以抵挡1280Mbps流量的攻击。

因此，当用户在遭受DoS/DDoS攻击之时，网神IPS仍然能够保证合法用户顺利享用网络服务。

动态的异常流量管理

当黑客发动攻击时，常会伴之网络异常的情形发生。网络异常的情形可分为以下三种。

1）通信协议异常

例如由外界网络流入大量过长的IP数据包、大量的IP碎片数据包、异常的TCP通信协议连机状态、被截断的IP数据包、无法重组的IP数据包等。

2）IP/Port的扫瞄异常

通过IP扫瞄，黑客得以窥知目的端内网络结构和情形；通过Port扫瞄，黑客可以得知目标主机已开启的服务端口。

3）网络流量异常

例如突然产生大量的TCP SYN、TCP、UDP、ICMP、IGMP等数据包，占据正常网络使用带宽。

当上述攻击数据包发起时，经过改造的恶意数据包可能会造成企业内部网络系统死机无法对外提供正常的服务；IP/Port扫瞄的行为将使企业内部的网络架构轻易被黑客得知；大量的异常流量数据包也可能造成企业核心路由器、交换机等因承载过重而死机。2003年所发生的SQL Slammer攻击就是因为送出大量UDP数据包而造成企业网络瘫痪。

●精准的带宽管理功能

网神IPS采取七层深度数据包分析技术，可以完整地做到应用程序级别的流量管理，具体针对以下两方面的管理：

1）可根据不同的应用程序分配不同的带宽，如对P2P 、PPlive、

PPStream等流量的管理。

2）可根据不同的VLAN、源/目的IP地址、应用协议端口划分不同的带宽。

网神IPS采取以下两种方式对流量进行管理：

1）网络传输带宽方式限流，即限制特定对象的最大带宽，可精准到

1Kbps。

2）网络传输总量方式限流，即限制特定对象的单位时间内传输总量。

●实用的多重冗余功能